mwiederkehr 384 Geschrieben 22. Dezember 2020 Melden Teilen Geschrieben 22. Dezember 2020 Hallo zusammen In der letzten Zeit hatte ich einige Diskussionen bezüglich "RDP über Internet" (für Terminalserver, nicht für Administrationszwecke). Die Bandbreite der Meinungen reicht von "geht gar nicht, nur über VPN oder man nimmt Citrix" bis "kein Problem bei neuen und aktuell gehaltenen Servern". Ich sehe folgende Risiken: 1. Passwort von Benutzer wird herausgefunden 2. Server wird durch Lücke in RDP "gehackt" 3. Kommunikation wird abgehört Punkt 1 ist sicher richtig, lässt sich aber durch starke Passwörter und allenfalls 2FA verhindern. Bezüglich Punkt 2 gab es in der Vergangenheit leider einige Vorfälle. Seit NLA kommt aber der komplexe und potentiell anfällige RDP-Code erst nach erfolgter Authentifizierung zum Einsatz. Punkt 3 sollte dank TLS kein Problem mehr sein. Wie seht ihr das? Ist RDP trotz aktiviertem NLA immer noch zu gefährlich, um es ins Internet geöffnet zu haben? Oder ist diese fixe Meinung überholt? Irgendwie wäre es eine Bankrotterklärung, wenn wichtige Dienste eines aktuellen Betriebssystems zu unsicher wären für den Zugriff über Internet. Selbst SMB macht man mitterlweile über Internet, siehe Azure. Vielen Dank für eure Meinungen! Zitieren Link zu diesem Kommentar
cj_berlin 1.342 Geschrieben 22. Dezember 2020 Melden Teilen Geschrieben 22. Dezember 2020 Moin, RDS übers Internet geht nur durch einen RD Gateway. An dieser Stelle kannst Du MFA integrieren oder eine andere Art Prä-Authentifizierung einbauen, damit Brute Force von Kennwörtern nicht möglich ist. Auch um einen Single Point of Entry zu haben brauchst Du den Gateway, denn Du kannst ja kein NAT von einer Public IP zu mehreren Zielen auf dem gleichen Port haben, und ich glaube nicht, dass jemand so viele Public IPs für die Farm bereitstellt wie sie Server hat Das alles gilt für Citrix oder VMware genau so. Du kannst eine normale XenApp-/View-Farm rein technisch nicht ins Internet öffnen, ohne einen NetScaler/UAG als Gateway vorzuschalten - allein schon aus dem Argument der Public IPs heraus, und die Sicherheit kommt natürlich hinzu. Und in dem Szenario mit Gateway *und* MFA ist es in meinen Augen nicht weniger sicher als alles andere. Es darf natürlich nur Port 443 inbound erlaubt sein Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 22. Dezember 2020 Melden Teilen Geschrieben 22. Dezember 2020 vor einer Stunde schrieb mwiederkehr: Wie seht ihr das? Ist RDP trotz aktiviertem NLA immer noch zu gefährlich, um es ins Internet geöffnet zu haben? Ja. Wie viele Lücken gabs denn so in letzter Zeit? Das werden auch nicht die letzten gewesen sein. Und jeder mit Firewall kann Port 3389 Scans in Aktion sehen. ;) Zitieren Link zu diesem Kommentar
mwiederkehr 384 Geschrieben 23. Dezember 2020 Autor Melden Teilen Geschrieben 23. Dezember 2020 Danke für eure Antworten! Ja, es gab leider mehrere Lücken, wobei die soweit mir bekannt bei neueren Betriebssystemen nicht ausgenutzt werden konnten, wenn NLA aktiviert war. Deshalb hatte ich die Hoffnung, dass NLA die Komplexität des am Internet hängenden Codes soweit reduziert hat, dass er sicherheitstechnisch überschaubar ist. Der Webserver spricht ja auch mit dem Internet und wird nicht dauernd gehackt. Bei Farmen ist klar, dass alles über einen Gateway läuft. Der NetScaler kann die Anmeldungen direkt gegen das AD prüfen, noch bevor der potentielle Angreifer zu den Servern durchgelassen wird. Es ging mir mehr um kleine Umgebungen. Bei RDWeb mäkeln die Benutzer über fehlenden Komfort und VPN ist auch keine Freude, wenn die Leute von privaten Rechnern aus arbeiten sollen. Zitieren Link zu diesem Kommentar
cj_berlin 1.342 Geschrieben 23. Dezember 2020 Melden Teilen Geschrieben 23. Dezember 2020 vor 8 Minuten schrieb mwiederkehr: Bei Farmen ist klar, dass alles über einen Gateway läuft. Du kannst - und sollst - auch einen einzelnen Terminalserver hinter einem Gateway "verstecken". Alles andere ist grob fahrlässig. Es gab, wenn ich mich recht erinnere, letztes Jahr auch eine Lücke, die sogar erst durch NLA ermöglicht wurde. Und RDWeb musst Du den Leuten auch bei einer Farm nicht zwingend antun. Du kannst durch RDWeb signierte .RDP-Dateien herunterladen und sie den Usern einfach so zum Draufklicken überlassen. Wir hatten das bei einer Behörde für ein Dutzend Applikationen fünf Jahre lang so praktiziert. Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 23. Dezember 2020 Melden Teilen Geschrieben 23. Dezember 2020 vor 1 Stunde schrieb mwiederkehr: Deshalb hatte ich die Hoffnung, dass NLA die Komplexität des am Internet hängenden Codes soweit reduziert hat, dass er sicherheitstechnisch überschaubar ist. Der Webserver spricht ja auch mit dem Internet und wird nicht dauernd gehackt. Der Webserver steht ja hoffentlich auch nicht innerhalb deines LANs und hat Zugriff auf alle Applikationen. Falls doch, würde ich das mal sehr schnell ändern. vor 1 Stunde schrieb mwiederkehr: Bei RDWeb mäkeln die Benutzer über fehlenden Komfort und VPN ist auch keine Freude, wenn die Leute von privaten Rechnern aus arbeiten sollen. Sicherheit und Bequemlichkeit liegen nunmal an entgegensetzten Enden einer Linie. RDP gehört weder mit noch ohne NLA direkt ins Internet. Wer das heute noch tut, hats echt nicht anders verdient. Bye Norbert Zitieren Link zu diesem Kommentar
NilsK 2.968 Geschrieben 23. Dezember 2020 Melden Teilen Geschrieben 23. Dezember 2020 Moin, sagen wir es mal so: Ich bin kein ausgewiesener Security-Spezialist, wurde aber im letzten Jahr zu mehreren Major-Incidents gerufen, bei denen es um eine vollständige Domänenübernahme ging. Darunter eine Uni und ein Glücksspielanbieter, nicht nur kleine Butzen. in *allen* Fällen war das Einfallstor bei schlecht gesicherten RDP-Servern gefunden worden. Gruß, Nils Zitieren Link zu diesem Kommentar
mwiederkehr 384 Geschrieben 23. Dezember 2020 Autor Melden Teilen Geschrieben 23. Dezember 2020 vor 3 Stunden schrieb cj_berlin: Du kannst - und sollst - auch einen einzelnen Terminalserver hinter einem Gateway "verstecken". Alles andere ist grob fahrlässig. Es gab, wenn ich mich recht erinnere, letztes Jahr auch eine Lücke, die sogar erst durch NLA ermöglicht wurde. Ja, aber es gab auch eine Lücke, die erst durch das Gateway ermöglicht wurde. Aber schon klar, habe ich verstanden. vor 3 Stunden schrieb cj_berlin: Und RDWeb musst Du den Leuten auch bei einer Farm nicht zwingend antun. Du kannst durch RDWeb signierte .RDP-Dateien herunterladen und sie den Usern einfach so zum Draufklicken überlassen. Wir hatten das bei einer Behörde für ein Dutzend Applikationen fünf Jahre lang so praktiziert. Oder mit den Ressourcen arbeiten, was ja quasi per Feed aktualisierte RDP-Dateien sind. Funktioniert auch ganz gut. vor 2 Stunden schrieb NorbertFe: Der Webserver steht ja hoffentlich auch nicht innerhalb deines LANs und hat Zugriff auf alle Applikationen. Gutes Argument, das hatte ich so noch nicht bedacht, danke! vor 15 Minuten schrieb NilsK: in *allen* Fällen war das Einfallstor bei schlecht gesicherten RDP-Servern gefunden worden. Krass, das hätte ich so nicht vermutet. Noch eine letzte Frage: euch ist auch keine Firewall oder virtuelle Appliance bekannt, die ein RDP-Gateway integriert hat? Kemp macht nur TCP-Load-Balancing auf RD-Gateways, bei Citrix soll es gehen, aber nur in den teuren Versionen. Sonst habe ich nichts gefunden. Ausser Guacamole, aber das packt RDP dann gleich in HTML5. (Was für privat übrigens eine coole Lösung ist, falls ihr etwas Basteln wollt über die Feiertage.) Zitieren Link zu diesem Kommentar
cj_berlin 1.342 Geschrieben 23. Dezember 2020 Melden Teilen Geschrieben 23. Dezember 2020 vor 2 Minuten schrieb mwiederkehr: Noch eine letzte Frage: euch ist auch keine Firewall oder virtuelle Appliance bekannt, die ein RDP-Gateway integriert hat? Kemp macht nur TCP-Load-Balancing auf RD-Gateways, bei Citrix soll es gehen, aber nur in den teuren Versionen. Sonst habe ich nichts gefunden. Ausser Guacamole, aber das packt RDP dann gleich in HTML5. (Was für privat übrigens eine coole Lösung ist, falls ihr etwas Basteln wollt über die Feiertage.) ...aber warum? HTML5 kann MS-RDS auch so, und RDG ist ja auch da. Brauchst nur einen Windows Server mit zwei Beinen... Und es gab auch letztes Jahr eine Lücke, die erst durch den NetScaler möglich war Zitieren Link zu diesem Kommentar
NorbertFe 2.089 Geschrieben 23. Dezember 2020 Melden Teilen Geschrieben 23. Dezember 2020 vor 6 Minuten schrieb cj_berlin: durch den NetScaler möglich war Ja, wobei sich die Lücke auch erst durch Fehlkonfiguration der netscaler zum tragen kam. Ohne Zugriff der Kisten aufs Internet wäre das deutlich geringer ausgefallen der Schaden. Zitieren Link zu diesem Kommentar
cj_berlin 1.342 Geschrieben 23. Dezember 2020 Melden Teilen Geschrieben 23. Dezember 2020 ...die "Fehlkonfiguration" war aber sehr weit verbreitet Zitieren Link zu diesem Kommentar
mwiederkehr 384 Geschrieben 23. Dezember 2020 Autor Melden Teilen Geschrieben 23. Dezember 2020 vor 26 Minuten schrieb cj_berlin: ...aber warum? HTML5 kann MS-RDS auch so, und RDG ist ja auch da. Das stimmt, aber den HTML5-Client gibt es noch nicht so lange. Warum RDG separat? Ich suche schon länger eine Lösung, um mehrere Server am gleichen Standort, aber in verschiedenen, getrennten Domänen bzw. Workgroups, anzubinden (Hoster). Das RDG ist ja auf eine Domäne limitiert. Für Adminzwecke läuft aktuell alles über einen "Jump-Host" mit RDG und 2FA und von dort aus dann intern weiter über RDP. Die Kunden selbst arbeiten per VPN. Es wäre schön, eine saubere Gateway-Lösung zu haben, ohne für jeden Kunden ein komplettes RD-Setup zu machen. Aktuell haben die kleinen Kunden nur einen Server (ohne Domäne). Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.